Оценка соответствия требованиям Государственных стандартов, Нормативных актов и Стандартов Банка России

Федеральными Законами "О Центральном банке Российской Федерации (Банке России)" от 10.07.2002 N 86-ФЗ, «О национальной платёжной системе», от 27.06.2011 № 161-ФЗ, и иными, Банку России предоставлено право устанавливать требования по защите информации для финансовых организаций.

В соответствии с указанными ФЗ Банк России подготовил и издал ряд нормативных актов, и стандартов, реализующих это право. К ним относятся:

  1. Положение Банка России № 382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (в редакции Указаний Банка России № 3007-У от 05.06.2013, № 3361-У от 14.08.2014, № 4793-У от 7.05.2018).
  2. Положение 672-П «О требованиях к защите информации в платежной системе Банка России», принятое на основании полномочий, предоставленных ЦБ РФ п. 19 ч.1 ст. 20 и ч. 9 ст. 20 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», которое пришло на смену 552-П.
  3. Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  4. Положение 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций», принятые на основании ст. 57.4 ст. 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
  5. Подготовлены и Приказом Федерального агентства по техническому регулированию и метрологии утверждены и введены в действие:
    • ГОСТ Р 57580.1 – 2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
    • ГОСТ Р 57580.2.-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
    • «Базовый стандарт совершения страховыми организациями операций на финансовом рынке». Утвержден Банком России (Протокол № КФНП-24 от 9 августа 2018 г.), согласован Комитетом по стандартам по деятельности страховых организаций при Банке России (Протокол № 5 от 27 июня 2018 г.), разработан Всероссийским союзом страховщиков. Разделом 3 данного стандарта установлено, что при обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Нормативными актами №№ 382-П, 672-П, 683-П и 684-П определено следующее:

  1. защита информации финансовых организаций или полученной ими при осуществлении деятельности осуществляется в соответствии с ГОСТ Р 57580.1-2017;
  2. контроль выполнения требований осуществляется в соответствии с ГОСТ Р 57580.2-2018;
  3. Финансовые организации должны обеспечить:
    • проведение оценки соответствия по 382-П на регулярной основе (1 раз в 2 года);
    • тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры (ежегодно);
    • использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», ФГУП «Стандартинформ», 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);
  4. установлена необходимость проведения оценки соответствия и анализу уязвимостей только с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности.

ООО «Реальная безопасность» предлагает услугу по аудиту и оценке соответствия требованиям Государственных стандартов, нормативных актов и Стандартов Банка России.